曾經(jīng)陪伴我們多年的殺毒軟件，面對日新月異的病毒和木馬，它們顯得很“單薄”，是乎很難再將其驅(qū)除出境，有的甚至連病毒及木馬的存在都無法發(fā)現(xiàn)，更別提如何進行清除。因此有時利用手工檢查及清除病毒，還是有必要的，本文以偽裝成系統(tǒng)的Wmiprvse.exe進程木馬為例，來對其木馬的清除做以循序漸進的講解。

某日筆者向往常一樣，按住鍵盤上的“Ctrl+Alt+Del”鍵，將“任務(wù)管理器”打開，并且切入至“進程”標簽。不過今日與以往不同的是，從“進程”標簽里，卻突然發(fā)現(xiàn)多出一個Wmiprvse.exe進程。于是利用百度搜索了一下Wmiprvse.exe進程的相關(guān)資料，給出的答案是wmiprvse.exe是微軟Windows操作系統(tǒng)的一部分。用于通過WinMgmt.exe程序處理WMI操作，這個程序?qū)δ阆到y(tǒng)的正常運行是非常重要的。

看到這里相信大家跟筆者的想法一樣，覺得這是一個正常安全的程序進程，于是筆者也沒當回事，又開始了自己的網(wǎng)游“生涯”，但是好景不長沒過多久，電腦開始自動重新啟動，而且之后又斷斷續(xù)續(xù)的重啟了幾回。在沒有任何可懷疑的對象處，筆者選擇利用系統(tǒng)的搜索功能，來查看一下這個突然出現(xiàn)的Wmiprvse.exe程序文件，結(jié)果卻出現(xiàn)了兩個同樣的Wmiprvse.exe文件并存的現(xiàn)象(圖1)。

仔細觀察一下，發(fā)現(xiàn)兩個程序文件大小相同，不過有個Wmiprvse.exe文件在Windows2目錄下，接著進一步看了兩個文件夾的創(chuàng)建時間，Windows2確實是在自己重裝系統(tǒng)時間內(nèi)，所以兩個都是系統(tǒng)目錄，只是前一個在***一次沒有刪除干凈。此時筆者再打開“任務(wù)管理器”對話框，發(fā)現(xiàn)系統(tǒng)里存在兩個Wmiprvse.exe進程，分別由不同權(quán)限的用戶運行。

于是上網(wǎng)又查了查資料，里面說位于\System32\wbem文件下的文件才是正常的文件，換句話說沒有直接刪除Windows\System32\wbem下的Wmiprvse.exe文件是病毒文件。接著筆者在“任務(wù)管理器”對話框內(nèi)，將其進程停止后，又進入到了該進程文件夾內(nèi)，將其病毒文件刪除。本以為病毒就這樣被消滅了，還沒等筆者重新啟動，也就過了十分鐘左右，這個病毒進程又出現(xiàn)在了任務(wù)管理器上。

于是筆者下了狠心，抱著寧可錯殺一個，絕不放過一個病毒文件的心理，再次停止該木馬進程，將Windows2目錄里的文件全部刪除后，又在注冊表編輯器里，搜索將相關(guān)鍵值進行刪除，接著重新啟動了一下計算機，然后打開“任務(wù)管理器”對話框，發(fā)現(xiàn)Wmiprvse.exe進程已經(jīng)不見了，并且系統(tǒng)總自動重新啟機的現(xiàn)象也以消失了，這樣一來真假“美猴王”就見了分曉。如果你跟筆者一樣碰到了偽裝Wmiprvse.exe程序的木馬，不如按照本文的思路將病毒清除，何必又采用費時費力的重裝方案。

【編輯推薦】

1. 攔門四斧砍清操作系統(tǒng)中各類型木馬后門